Недавно в Самаре прошли международные открытые соревнования по информационной безопасности.
ВолгаCTF .
Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC, рассказал участникам конкурса о трёх реальных атаках и поинтересовался, как их можно идентифицировать.
Посмотрите, сможете ли вы ответить правильно.
Ниже представлена стенограмма выступления Владимира, а для желающих посмотреть нецензурированную и неразрезанную версию (с учетом ответов слушателей) вот видео:
Итак, слово Владимира: 
Хочу рассказать вам несколько историй из нашей жизни.
Большинству из них я расскажу с конца – то есть начиная с того, что это было за происшествие.
И попробуйте разобраться, как эту атаку можно было увидеть на старте, что бы вы, как защитник компании, сделали, чтобы действия нападающих попали на ваш радар.
Я надеюсь, что это поможет вам в будущем, когда вы станете профессиональными пентестерами и будете работать в Positive Technologies, Digital Security или у нас.
Вы будете знать, как центр мониторинга видит подобные атаки, как он на них реагирует, и — кто знает — может быть, это поможет вам обойти защиту, добиться поставленной цели и показать заказчику, что он не так уж неуязвим, как он думал.
Вот так?
Задача № 1. «Эта служба и опасна, и трудна, и на первый взгляд кажется невидимой…
История началась с того, что к нам пришел руководитель службы информационной безопасности одной компании и сказал: «Ребята, у меня творится какая-то странная ерунда.Есть четыре машины, которые начинают самопроизвольно перезагружаться, вылетают в синий экран - в общем, ерунда какая-то творится.
Давайте разберемся».
Когда на объект прибыли ребята из группы криминалистов, оказалось, что журналы безопасности на всех машинах были очищены — активности было так много, что журнал безопасности был быстро ротирован (перезаписан).
В Master File Table нам также не удалось найти ничего интересного — фрагментация сильная, данные быстро затираются.
Однако кое-что удалось найти в системном журнале: примерно раз в день на этих четырех машинах появляется служба it_helpdesk, делает что-то неизвестное (логов безопасности, насколько мы помним, нет) и исчезает.
Лицо нашего начальника судебно-медицинской экспертизы выглядело примерно так: 
Мы начали разбираться дальше, и выяснилось, что сервис it_helpdesk на самом деле является переименованным PSExec.
Такие утилиты, как Telnet, и программы удаленного управления, такие как Symantec PC Anywhere, позволяют запускать программы на удаленных системах, но их не так просто установить, поскольку вам также необходимо установить клиентское программное обеспечение на удаленных системах, к которым вы хотите получить доступ.Проверив логи системы на других машинах, мы увидели, что задействованы не 4 рабочих станции, а 20, плюс еще 19 серверов, включая один критический.доступ.
PsExec — облегченная версия Telnet. Он позволяет запускать процессы на удаленных системах, используя все интерактивные возможности консольных приложений, без необходимости вручную устанавливать клиентское программное обеспечение.
Основным преимуществом PsExec является возможность интерактивного вызова интерфейса командной строки в удаленных системах и удаленного запуска таких инструментов, как IpConfig. Это единственный способ отобразить данные об удаленной системе на экране локального компьютера.
technet.microsoft.com
Мы поговорили с айтишниками и выяснили, что они не имеют к этому никакого отношения, у них нет такой подсистемы.
Стали копать дальше, и тут была обнаружена довольно любопытная и редко встречающаяся вещь — DNS-туннелирование, которое использовалось вредоносным модулем, отвечающим за связь с центром управления ботнетом.
DNS-туннелирование — это метод, позволяющий передавать произвольный трафик (фактически поднимать туннель) по протоколу DNS. Его можно использовать, например, для получения полного доступа к Интернету с точки, где разрешено разрешение DNS-имен.Вредоносный код проник в организацию по электронной почте, распространился по инфраструктуре и взаимодействовал с командным сервером через DNS-туннель.Туннелирование DNS нельзя предотвратить с помощью простых правил брандмауэра, разрешая при этом другой трафик DNS. Это связано с тем, что трафик туннеля DNS и законные запросы DNS неотличимы.
DNS-туннелирование можно обнаружить по интенсивности запросов (если трафик через туннель большой), а также более сложными методами с использованием систем обнаружения вторжений.
xgu.ru
Поэтому запреты на взаимодействие с Интернетом, действовавшие в серверном сегменте, не сработали.
На одном из критически важных серверов был кейлоггер, который автоматически считывал пароли, и вредоносное ПО пыталось проползти дальше, получая новые учетные данные пользователей, включая сбрасывание машин в BSOD и считывание паролей администраторов, которые его подхватили.
К чему это привело? За время пребывания вредоносного ПО в инфраструктуре было скомпрометировано множество учетных записей, а также большое количество других потенциально конфиденциальных данных.
В ходе расследования мы локализовали зону действий злоумышленников и «выгнали» их из сети.
Заказчик получил еще четыре месяца мучений — пришлось перезагружать половину машин и перевыдавать все пароли — к базам данных, учетным записям и так далее.
Людям с опытом работы в ИТ не нужно объяснять, какая это сложная история.
Но, тем не менее, все закончилось хорошо.
Итак, вопрос: как можно было обнаружить эту атаку и поймать киберпреступника? Ответ на первую проблему Сначала, как вы помните, заражение затронуло критически важный сервер.
Если на таком хосте запускается новый, ранее неизвестный сервис – это инцидент очень высокой критичности.
Этого не должно случиться.
Если вы хотя бы будете следить за сервисами, которые работают на критических серверах, одно это поможет выявить такую атаку на ранней стадии и не допустить ее развития.
Во-вторых, не стоит пренебрегать информацией из самых элементарных средств защиты.
PSExec хорошо обнаруживается антивирусами, но помечается не как вредоносное ПО, а как инструмент удаленного администрирования или инструмент взлома.
Если внимательно посмотреть логи антивируса, то можно вовремя увидеть триггер и принять соответствующие меры.
Задание №2. Страшные сказки
Крупный банк, женщина работает в финансовой службе и имеет доступ к рабочей станции ЦБР.
AWS KBR — автоматизированное рабочее место для клиента Банка России.Этот сотрудник финансовой службы принес на работу флешку с файлом Сказки_для_больших_и_маленьких.Это программное решение для безопасного обмена информацией с Банком России, включая отправку платежных поручений, банковских переводов и т. д.
pdf.exe. У нее была маленькая дочь, и женщина хотела на работе распечатать детскую книжку, которую скачала из Интернета.
Расширение файла .
pdf.exe ей не показалось подозрительным, а потом, когда она запустила файл, открылся обычный pdf.
Женщина открыла книгу и пошла домой.
Но расширение .
exe, конечно же, появилось не случайно.
За ним стоял Remo Admin Tool, который сидел на рабочей станции и закрепился там в системных процессах более чем на год. Как работает такое вредоносное ПО? Во-первых, они делают скриншоты примерно 15 раз в минуту.
В отдельный файл они помещают полученные от кейлоггера данные – логины и пароли, переписку в почте, мессенджерах и многое другое.
Подключив клиент, мы быстро заметили зараженный хост и очистили сеть от вируса.
Вопрос: как можно обнаружить «невидимое» вредоносное ПО, которое не обнаруживается антивирусом? Ответ на вторую задачу Во-первых, вредоносное ПО, как правило, что-то делает в файловой системе, меняет записи реестра — короче, каким-то образом загружается в систему.
Это можно отследить, если следить за хостом на уровне логов, которые пишет сама операционная система - логи безопасности, запуска процессов, изменения реестра.
Во-вторых, важно помнить, что такие вредоносные программы не живут автономно; оно всегда куда-то стучится.
Зачастую рабочие станции в сети имеют доступ в Интернет только через прокси, поэтому если машина пытается получить доступ к чему-то напрямую – это серьезный инцидент, с которым необходимо разобраться.
Задание №3. «Кровавый варез»
Системному администратору нужно было сравнить и «склеить» 2 XML-файла.Он пошел простым путем — набрал в поисковике «скачать xml merger без регистрации и смс».
Официальный сайт разработчика этой утилиты оказался на 3-м месте в результатах поиска, а на первых двух оказались файлообменники.
Там администратор скачал программу.
Как вы, наверное, уже догадались, в «бесплатную» утилиту встроен хороший, качественный модуль повышения привилегий.
Он удалил антивирусный агент на компьютере и вместо этого создал файл с тем же именем.
Так вредоносная программа висела на машине, периодически обращаясь в центр управления.
Хуже всего было то, что ИТ-админ — король замка, у него есть доступ везде.
С его машины вирус может попасть на любой хост или сервер.
Вредоносное ПО ползло по сети через шарпоинты домена, пытаясь добраться до основной машины финансиста.
В этот момент ее поймали за хвост, и история угасла.
Вопрос: как обнаружить такую атаку на машину привилегированного пользователя? Ответ на третью задачу Опять же, можно прослушивать трафик, пытаясь поймать вредоносное ПО «с поличным» — в момент запроса к командному серверу.
Однако если в компании нет NGFW, IDS, системы анализа сетевого трафика или SIEM, которая поймает из трафика хоть что-то ценное, слушать ее можно бесконечно.
Более эффективно просматривать журналы операционной системы, отправляя их во внешнюю систему.
Пока вредоносная программа удаляла антивирусный агент, она не смогла очистить файл аудита, поэтому в журналах, переданных во внешнюю систему, обязательно будет информация об удалении антивирусного агента или хотя бы о том, что аудит был очищен.
После этого логи на самой машине будут пусты, и никаких следов обнаружить невозможно.
Теги: #информационная безопасность #кибербезопасность #Карьера в ИТ-индустрии #Образовательный процесс в ИТ #Занимательные головоломки #кибератаки #проблемы #solar jsoc
-
Firefox 3.7 Alpha 2 Доступен Для Загрузки
19 Oct, 24 -
Подробности О Поддереве Git
19 Oct, 24 -
Твой Выбор? И Почему?
19 Oct, 24
